Práticas recomendadas para ambientes 802.1x com fio no Wyse Management Suite

Produtos afetados:

• Wyse Management Suite

Plataformas afetadas:

• Thin client OptiPlex 3000
• OptiPlex 5400 All in One
• OptiPlex All-in-One 7410
• OptiPlex All-in-One 7420
• Latitude 3420
• Latitude 3440
• Latitude 5440
• Latitude 5450
• Wyse 5070 Thin Client
• Thin client Wyse 5470 all in one
• Thin client móvel Wyse 5470

Sistemas operacionais afetados:

• Dell ThinOS

A implementação de endpoints em um ambiente 802.1x com fio pode ser desafiadora, pois os certificados geralmente são necessários para concluir uma negociação de EAP de sucesso. Isso é ainda mais complicado ao usar o ThinOS, pois uma operação de redefinição para fábrica apaga todos os dados da participação criptografada do NVR, inclusive os certificados instalados pelo cliente. Abaixo, há uma estratégia recomendada para ativar a implementação ou a configuração automática de clients ThinOS em um ambiente 802.1x com fio.

Instalação — configuração do ambiente do cliente

Os dispositivos listados devem ser configurados para ter os seguintes comportamentos:

• SWITCH — se você estiver usando um switch da Cisco ou outro, será necessário configurar uma vLAN segura e não segura. Se o client não tiver as configurações ou os certificados necessários para concluir a negociação de EAP e anexá-la à vLAN segura, o switch deverá conectar a rota do client a uma vLAN não segura.
• Servidor WMS — os clientes devem garantir que os servidores WMS possam ser acessados a partir da vLAN segura e não segura. Se estiver usando uma instalação no local, e não de nuvem pública, o cliente poderá optar por instalar dois servidores WMS.

• Configurações de DHCP e DNS — na vLAN segura e não segura, os clientes devem ativar as configurações necessárias (opções de DHCP ou registros de DNS) que permitem que o ThinOS se conecte ao servidor WMS e ao grupo de registro.

Fluxo de trabalho — comportamento padrão de fábrica

1. Quando um client ThinOS é ligado pela primeira vez ou após uma redefinição de fábrica, ele é inicializado
2. Falha na negociação de EAP 802.1x (sem configuração nem certificados)
3. O switch encaminha o ThinOS para uma vLAN não segura.
4. O ThinOS conclui o DHCP e obtém informações do WMS de variáveis de ambiente (opções de DHCP, registros de DNS).
5. O ThinOS é conectado ao servidor WMS e ao grupo de registro e recupera as configurações 802.1x e os certificados que precisam ser anexados à vLAN segura
6. O ThinOS é reinicializado
7. A negociação de EAP 802.1x é concluída com sucesso.
8. O ThinOS conclui o DHCP e obtém informações do WMS de variáveis de ambiente (opções de DHCP, registros de DNS).
9. O ThinOS é conectado ao servidor WMS e ao grupo de registro e recupera configurações completas de client e todos os certificados de servidor obrigatórios
10. O processo está concluído.
    
    Nota: O Simple Certificate Enrollment Protocol (SCEP) pode ser integrado a esse processo, mas a implementação automática exige que o servidor SCEP esteja presente na vLAN segura e não segura.

Definições do SCEP para configuração de grupos do WMS do ThinOS 9.x

Para configurar o Wyse Management Suite for SCEP ao usar o ThinOS 9.x:

1. Ative a opção Enable Auto Enrollment para ativar a inscrição automática.
2. Opcionalmente, ative a opção Enable Auto Renew para ativar a renovação automática.
3. Ative a opção Select Install CA Certificate para ativar a seleção da instalação do certificado da CA.
4. Informe um nome de país em Country Name.
5. Informe um estado em State.
6. Opcionalmente, informe uma localização em Location.
7. Opcionalmente, informe uma organização em Organization.
8. Opcionalmente, informe uma unidade organizacional em Organization Unit.
9. Opcionalmente, informe um endereço de e-mail em Email Address.
10. Selecione um uso de chave Digital Signature ou Key Encipherment.
11. Selecione o comprimento da chave em Key Length.
12. Opcionalmente, informe um nome alternativo do assunto em Sub Alt Name.
13. Informe um nome comum em Common Name.
14. Informe uma URL de solicitação em Request URL.
15. Selecione um tipo de hash de certificado da CA em CA Certificate Hash Type.
16. Informe o hash de certificado da CA em CA Certificate Hash.
17. Opcionalmente, informe uma senha de inscrição em Enrollment Password.
18. Informe a URL do administrador em Administrator URL.
19. Opcionalmente, ative a opção Ignore Server Certificate Check para ignorar a verificação de certificado do servidor.
20. Informe o usuário administrador em Admin User.
21. Informe a senha do usuário administrador em Admin User Password.
22. Informe o domínio do usuário administrador em Admin User Domain.
    
    Nota:

    • A imagem mostra $TN_Machine.local como um exemplo de nome comum. $TN é uma variável de ambiente de sistema do ThinOS. $TN insere o nome do terminal na certificação da máquina como uma alternativa $SN também poderia ser usada; isso adicionaria a etiqueta de serviço ao nome do certificado.
    • A URL da solicitação deve informar um caminho para o servidor SCEP em seu ambiente.
    • O valor CA Certificate Hash é encontrado na página [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • A URL do administrator é a página [SCEPSERVER]/CertSrv/MSCEP_admin/.
    • O usuário administrador é a conta de serviço do SCEP.

Configurações do ambiente com fio do ThinOS 9.x 802.1x Configuração do grupo WMS

No WMS:

1. Selecione Advanced>Network Configuration>Ethernet Settings>802.1X Authentication Settings>Add Row
2. Selecione a opção necessária EAP tipo > EAP-TLS
3. Digite o nome de arquivo correto do certificado do client
4. Selecione o tipo de certificado de Client Usuário ou Máquina (emitido para a máquina normalmente)
   • Nome do servidor é opcional (o nome do servidor Radius deve ser usado)
   • As opções Validate Server e Check Server precisam estar habilitadas para validação do nome do servidor.
      
     Nota:

     • O nome do arquivo do certificado do client deve incluir scep_cert_ e .crt
     • Se os detalhes forem digitados incorretamente, não será possível fazer log-in.